CISA dodaje trzy luki do katalogu KEV: Cisco AsyncOS (Secure Email), SonicWall SMA1000 i ASUS Live Update (supply chain)

Wprowadzenie do problemu / definicja luki

17 grudnia 2025 r. amerykańska CISA dopisała do Known Exploited Vulnerabilities (KEV) trzy nowe pozycje potwierdzone jako aktywnie wykorzystywane:

• CVE-2025-20393 – Cisco Secure Email Gateway oraz Secure Email and Web Manager (AsyncOS): krytyczne RCE wskutek niewłaściwej walidacji danych.
• CVE-2025-40602 – SonicWall SMA1000: luka „missing authorization” w Appliance Management Console prowadząca do eskalacji uprawnień; wykorzystywana w łańcuchu z wcześniejszą deserializacją CVE-2025-23006.
• CVE-2025-59374 – ASUS Live Update: historyczny incydent supply-chain (osadzenie złośliwego kodu), dotyczy przestarzałych wersji klienta.

W skrócie

• Cisco (CVE-2025-20393): aktywnie eksploatowane, RCE bez uwierzytelniania na urządzeniach Secure Email/SEWM; brak obejść; vendor publikuje wskazówki i śledzi kampanię. Priorytet „natychmiast”.
• SonicWall (CVE-2025-40602): lokalna eskalacja w SMA1000 AMC; w praktyce łączona z CVE-2025-23006 dla pełnego przejęcia. Aktualizacje/hotfixy dostępne.
• ASUS Live Update (CVE-2025-59374): wpis do KEV za incydent supply-chain; dotyczy EoS/starych wersji klienta Live Update—zalecane zaprzestanie użycia oraz aktualizacja/odinstalowanie.

Kontekst / historia / powiązania

KEV to lista podatności potwierdzonych jako wykorzystywane „in the wild”, która wyznacza obowiązkowe terminy remediacji dla agencji federalnych USA i stanowi czytelny sygnał priorytetyzacji dla sektora prywatnego.

Dodatkowo producent Cisco opisuje aktywne ataki na AsyncOS z możliwością wykonania poleceń z uprawnieniami root; brak obejść, zalecane pilne działania ograniczające ekspozycję oraz aktualizacje, gdy będą dostępne.

Analiza techniczna / szczegóły luki

1) Cisco Secure Email / Secure Email & Web Manager – CVE-2025-20393 (RCE)

• Wektor: niewłaściwa walidacja danych wejściowych (input validation) w AsyncOS, umożliwiająca zdalne wykonanie poleceń z uprawnieniami root.
• Zasięg: dotyczy urządzeń Secure Email Gateway i Secure Email & Web Manager; obserwowane ataki ukierunkowane.
• Status: aktywnie wykorzystywana 0-day, opisana w doradztwie Cisco; brak trwałych obejść, konieczne ograniczenie dostępu i ścisły monitoring.

2) SonicWall SMA1000 – CVE-2025-40602 (LPE, missing authorization)

• Wektor: brak/insufficient authorization w Appliance Management Console (AMC) → lokalna eskalacja uprawnień.
• Praktyczny łańcuch ataku: połączona z CVE-2025-23006 (deserializacja) daje atakującym RCE + root.
• Status: aktywnie wykorzystywana w kampanii łańcuchowej; dostępne poprawki/hotfixy i wtyczki detekcyjne (Tenable).

3) ASUS Live Update – CVE-2025-59374 (embedded malicious code, supply chain)

• Charakter: „Embedded malicious code” (CWE-506) — dystrybucja zmodyfikowanych, zainfekowanych buildów klienta ASUS Live Update w historycznym incydencie łańcucha dostaw; dotyczy legacy/EoS wersji.
• Ryzyko dziś: systemy, które nadal mają stare klienty lub obrazy bazowe zawierające podatne wydania. Zalecenie: aktualizacja do ≥ 3.6.8 lub całkowite usunięcie klienta.

Praktyczne konsekwencje / ryzyko

• Perimeter compromise: luki w bramach pocztowych (Cisco) oraz portalach dostępowych/VPN (SMA1000) mają wysoki wpływ na tożsamość, pocztę i lateral movement.
• Persistence przez supply chain: starsze obrazy systemów z ASUS Live Update mogą wprowadzać trwałe ryzyko w procesach golden image / VDI / lab.

Rekomendacje operacyjne / co zrobić teraz

Dla wszystkich organizacji:

1. Inwentaryzacja i skan: natychmiast znajdź urządzenia Cisco Secure Email/SEWM (AsyncOS), SonicWall SMA1000 oraz systemy z ASUS Live Update.
2. Segmentacja i dostęp:
   • Ogranicz HTTP/HTTPS/AMC/administrację do zaufanych adresów (allow-list, VPN z MFA).
   • Zablokuj ekspozycję interfejsów admin do Internetu.
3. Aktualizacje / hotfixy:
   • Śledź doradztwa Cisco (AsyncOS) i zastosuj wymagane wersje/tymczasowe kroki ograniczające.
   • Zainstaluj hotfixy SonicWall SMA1000; jeżeli używasz SMA100 (starsza linia), sprawdź odrębne biuletyny producenta.
   • Usuń/aktualizuj ASUS Live Update do wersji ≥ 3.6.8 lub odinstaluj na obrazach bazowych.
4. Monitoring i IR:
   • Szukaj nietypowych logowań do paneli admin, eksportów konfiguracji, tworzenia nowych kont admin oraz komend systemowych uruchamianych przez procesy appliance. (Cisco/AsyncOS).
   • Dla SMA1000: alerty na dostęp do AMC, artefakty LPE i ślady eksploatacji deserializacji (CVE-2025-23006).
5. Zarządzanie ryzykiem KEV: wprowadź politykę, by KEV = najwyższy priorytet remediacji z krótkim SLA (zgodnie z praktyką CISA).

Różnice / porównania z innymi przypadkami

• Cisco vs. SonicWall: w Cisco mówimy o pre-auth RCE na appliance pocztowym (skrajnie niebezpieczne); w SonicWall bazowa luka to LPE, ale realne ryzyko rośnie przez łańcuch z pre-auth deserializacją.
• ASUS Live Update: to przykład podatności supply-chain (embedded malicious code) — inny profil ryzyka: legacy footprint i ryzyko residuala w obrazach/systemach, które nie zostały zmodernizowane.

Podsumowanie / najważniejsze wnioski

• Trzy wpisy KEV z 17.12.2025 r. obejmują krytyczne wektory perymetru (email/VPN) oraz historyczny, ale wciąż groźny ślad supply-chain.
• Priorytet: Cisco AsyncOS (odcięcie ekspozycji + działania zgodne z doradztwem), SonicWall SMA1000 (natychmiastowy hotfix i twarde kontrolki dostępu), ASUS Live Update (likwidacja starych klientów/obrazów).

Źródła / bibliografia

• CISA – alert o dodaniu 3 pozycji do KEV (17 grudnia 2025). (CISA)
• Cisco Security Advisory – CVE-2025-20393 (AsyncOS: Secure Email Gateway / Secure Email & Web Manager). (Cisco)
• CVE Details – CVE-2025-20393 (opis, wpływ, KEV). (CVE Details)
• Tenable Research – CVE-2025-40602 (SMA1000 LPE, łańcuch z CVE-2025-23006). (Tenable®)
• NVD – CVE-2025-59374 (ASUS Live Update, embedded malicious code, supply-chain). (NVD)